Exchange your Mind

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archives de la catégorie ‘Problèmes 2007’

Outlook : Blocage de l’expéditeur qui ne fonctionne pas

Publié par Teruin laurent le août 31, 2011


ENVIRONNEMENT

Exchange 2007 / Outlook 2010

PROBLEME

Le blocage d’un expéditeur via le client Outlook ne fonctionne pas.


RAISON

Le fait que le blocage d’un expéditeur ne fonctionne pas peut être dû au fait que le flux SMTP entrant vers le serveur Exchange (Eventuellement d’un équipement tiers : Fortimail, Ironport etc..) est considéré comme étant de confiance. En fait ce cas se produit si vous avez paramétré vos « receive connector » (particulièrement ceux utilisé pour la réception de message provenant de votre relais de messagerie en DMZ par exemple) comme autorisant les adresses IP de vos boitiers de relais dans l’onglet Allowed Addresses.


Si vous faites cela, l’ensemble des flux de messagerie provenant de cette destination seront taggué avec un SCL ayant une valeur a -1 comme le montre les deux lignes suivantes.

X-MS-Exchange-Organization-Antispam-Report: IPOnAllowList
X-MS-Exchange-Organization-SCL: -1

Dans ce cas le client Outlook ne bloquera pas votre Expéditeur même si vous lui demandez. Nous avons effectuez pas mal de test, et le simple fait d’enlever l’adresse IP des boitiers relais de messagerie dans le « receive connector » Onglet AntiSpam / Allowed Addresses supprime le SCL a – 1 et le blocage du client via Outlook fonctionne à nouveau

Cordialement
Laurent Teruin

Publié dans EXCHANGE 2007, Exchange Server 2007, Problèmes 2007, Sécurité-2007 | Leave a Comment »

ID d’événement 11 (KDC) : Duplicate SPN Entries on Exchange 2007 SCC RU9

Publié par Teruin laurent le janvier 6, 2010


Sur les serveurs contrôleur de domaine l’erreur 11 est remontée pour certains services Exchange 2007.

L’article suivant décrit la méthode utilisée pour supprimer l’entrée dupliquée.

Les services incriminés sont :

  • (serviceprincipalname=exchangeRFR/EXCCLUS.unifiedit.priv)
  • (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv)

Car ils référencent tout les deux le nom du CMS Exchange ainsi que le nom host du serveur Actif.

Extrait LDP :

***Searching…

ldap_search_s(ld, "DC=unifiedit,DC=priv", 2, "(serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv)", attrList, 0, &msg)

Result <0>: (null)

Matched DNs:

Getting 2 entries:

>> Dn: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: NODE1;

    1> description: Exchange Mailbox Server 1st Cluster Node;

    1> distinguishedName: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: NODE1;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/NODE1;

>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: EXCCLUS;

    1> description: Exchange Server cluster virtual network name account;

    1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: EXCCLUS;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;

 

 

Dn: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: NODE1;

    1> description: Exchange Mailbox Server 1st Cluster Node;

    1> distinguishedName: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: NODE1;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/NODE1;

>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: EXCCLUS;

    1> description: Exchange Server cluster virtual network name account;

    1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: EXCCLUS;

1>    canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;

 

MESSAGE D’ERREUR

Event Type:    Error
Event Source:    KDC
Event Category:    None
Event ID:    11
Date:        06/01/2010
Time:        08:48:37
User:        N/A
Computer:    COMPUTERNAME

Description: There are multiple accounts with name exchangeMDB/COMPUTERNAME.unifiedIT.priv of type DS_SERVICE_PRINCIPAL_NAME.

Après vérification nous avons trouvé cette erreur dans la base de connaissance Microsoft : http://support.microsoft.com/kb/321044/fr

 

SOLUTION TECHNET

La cause remontée par la base de connaissance est la suivante :

« Ce problème se produit car deux ou plusieurs comptes d’ordinateur ont le même nom principal de service (SPN) inscrit au Registre. L’ID d’événement 11 est enregistré lorsque le centre de distribution de clés (KDC) reçoit une demande de ticket et que le nom SPN associé figure plusieurs fois sur le catalogue global lors de la vérification sur l’ensemble de la forêt. »

Pour résoudre ce problème, repérez les comptes d’ordinateur dotés du nom SPN en double. Une fois ces ordinateurs repérés, vous pouvez soit supprimer le compte d’ordinateur du domaine, détacher puis rattacher l’ordinateur au domaine, soit utiliser l’utilitaire ADSI Edit pour corriger le nom SPN sur l’ordinateur doté du nom SPN incorrect.

RESOLUTIONS

Pour repérer les comptes d’ordinateur dotés des noms SPN en double, appliquez l’une des méthodes ci-dessous.

Méthode 1 : Utiliser l’outil de support LDP

  • Remarque Si les outils de support de Windows 2000 ne sont pas installés, installez-les à partir du CD-ROM Windows 2000 avant de poursuivre. Le fichier exécutable du programme d’installation des outils de support se trouve dans le dossier Support\Tools du CD-ROM. L’installation ne requiert pas le redémarrage de l’ordinateur. Toutefois, vous devrez peut-être redémarrer l’ordinateur pour mettre à jour les variables d’environnement.
  • Cliquez sur Démarrer, puis sur Exécuter, tapez LDP, puis cliquez sur OK.
  • Cliquez sur Connexion, puis sur Connecter.
  • Laissez les paramètres par défaut, puis cliquez sur OK.
  • Cliquez sur Connexion, puis sur Liaison.
  • Laissez les paramètres par défaut, puis cliquez sur OK.
  • Cliquez sur Affichage, puis sur Arborescence.
  • Dans la boîte de dialogue Affichage de l’arborescence, tapez DC=votre_domaine,DC=com dans la zone BaseDN, où votre_domaine est le nom de votre domaine.
  • Cliquez sur Parcourir, puis sur Rechercher.
  • Dans la boîte de dialogue Rechercher, tapez DC=votre_domaine,DC=com dans la zone Nom unique de base.
  • Dans la boîte de dialogue Rechercher, tapez nom_principal_service=HOST/monordinateur.mondomaine.com dans la zone Filtre. Si le nom principal du service mentionné dans l’erreur du journal système diffère de cet exemple, tapez le nom principal du service auquel l’erreur fait référence.
  • Sous Étendue, cliquez sur Sous-arbre.
  • Cliquez sur Exécuter.

Dans notre cas les deux services (serviceprincipalname=exchangeRFR/EXCCLUS.unifiedit.priv) et (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv) étaient présents sur la machine virtuelle ainsi que sur un des nœuds du cluster. La question est donc quelles valeurs supprimer. L’article http://technet.microsoft.com/fr-fr/library/aa996905(EXCHG.80).aspx donne un élément de réponse et laisse penser que le nom FDQN attendu ce qui est logique doit correspondre au serveur virtuel Exchange 2007.

Pour supprimer l’entrée nous avons utilisé SetSpn doit voici la syntaxe en précisant bien le nom du serveur à supprimer. L’idée est de supprimer l’entrée incorrecte et non le SPN entier.

setspn -D exchangeMDB/EXCCLUS.unifiedit.priv NODE1

Voici ce que cela a donné

C:\Documents and Settings\_lteruin>setspn -D exchangeMDB/EXCCLUS.unifiedit.priv MA

EXC2K01

Unregistering ServicePrincipalNames for CN=NODE1,OU=Applications,OU=Marseill

e,OU=Servers,DC=unifiedit,DC=priv

exchangeMDB/EXCCLUS.unifiedit.priv

Updated object

 

Vérification

***Searching…

ldap_search_s(ld, "DC=unifiedit,DC=priv", 2, "(serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv)", attrList, 0, &msg)

Result <0>: (null)

Matched DNs:

Getting 1 entries:

>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: EXCCLUS;

    1> description: Exchange Server cluster virtual network name account;

    1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: EXCCLUS;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;

———–

 

 

 

C:\Documents and Settings\_lteruin>setspn -D exchangeRFR/EXCCLUS.unifiedit.priv MA

EXC2K01

Unregistering ServicePrincipalNames for CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

exchangeRFR/EXCCLUS.unifiedit.priv

Updated object

 

Vérification

***Searching…

ldap_search_s(ld, "DC=unifiedit,DC=priv", 2, "(serviceprincipalname=exchangeRFR/EXCCLUS.unifiedit.priv)", attrList, 0, &msg)

Result <0>: (null)

Matched DNs:

Getting 1 entries:

>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv

    5> objectClass: top; person; organizationalPerson; user; computer;

    1> cn: EXCCLUS;

    1> description: Exchange Server cluster virtual network name account;

    1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;

    1> name: EXCCLUS;

    1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;

 

C:\Documents and Settings\_lteruin>

 

SYNTAXE DE LA COMMANDE SPN

 

Usage: setspn [switches data] computername

Where "computername" can be the name or domain\name

Switches:

-R = reset HOST ServicePrincipalName

 

Usage: setspn -R computername

-A = add arbitrary SPN

Usage: setspn -A SPN computername

-D = delete arbitrary SPN

Usage: setspn -D SPN computername

-L = list registered SPNs

Usage: setspn [-L] computername

 

Examples:

setspn -R daserver1

It will register SPN "HOST/daserver1" and "HOST/{DNS of daserver1}"

setspn -A http/daserver daserver1

It will register SPN "http/daserver" for computer "daserver1"

setspn -D http/daserver daserver1

It will delete SPN "http/daserver" for computer "daserver1"

Publié dans Cluster-2007, EXCHANGE 2007, Problèmes 2007 | Leave a Comment »

 
Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 223 followers